ランサムウェア「WannaCry」の攻撃から約1年経ったが、英政府と英国民保健サービス(NHS)は、いずれも将来再び似たような攻撃の憂き目に合わないように、必要なサイバーセキュリティ対策を導入するのを怠っているようだ。
WannaCryは2017年5月に急速に拡散して、世界中のシステムに感染を広げた。攻撃は無差別に仕掛けられたが、NHSが最も注目を集めた被害者の1つとなった。
病院やクリニックはオフライン状態となり、2万件の診療がキャンセルを余儀なくされたという。また一部では、システムが平常通りに戻るまで何週間も要した。
英国の下院議員(MP)らが、このランサムウェア攻撃の対処法について調査し、WannaCryは「NHSにとっての警鐘だった」と述べた。NHSと政府はシステムを確実に保護するための取り組みを強化すべきだとしている。
英国下院のPublic Accounts Committee(決算委員会)による新報告書は、「保健省とその隣接機関は、比較的単純なWannaCry攻撃に対して無防備だった」と述べている。
またMPらは、保健省によるサイバーセキュリティへの投資は、「WannaCry攻撃がNHSにもたらした経済的影響をいまだに把握できていない」ことによって妨げられていると警告し、サイバーセキュリティに対する「必須の」投資について、6月までに予算を見直すように指示している。
委員長のMeg Hillier議員は、「広範囲にわたって混乱を引き起こしたWannaCryによって、NHSのサイバーセキュリティ、そして対応策の深刻な脆弱性が露呈された」と語る。
「そのため、WannaCry攻撃から1年経った今も、その教訓を活かした対策の導入計画について合意に達していないのは、憂慮すべきことだ」(Hillier議員)
「政府は、地方組織が抱える脆弱性や課題のほか、WannaCryと将来起こり得る攻撃が、NHS全体に及ぼす経済的影響について掌握する必要がある」と、Hillier議員は付け加えている。
決算委員会に攻撃の証拠が提出されていた時、「NHS Digitalは200カ所のトラストで、サイバーセキュリティと脆弱性を試験するオンサイト評価を完了したところだったが、すべてのトラストは評価をパスできなかった」と、決算委員会は警告する。
